Webアプリケーションの保護に有効なWAFですが、社内にセキュリティに明るい技術者が不足している場合や、サービス開始から間もないなどの理由で導入が遅れていることも少なくありません。
まだまだ日本ではWAFが普及しているとはいいがたい状況であり、導入に関する情報も不足している状況です。本記事では、WAFの導入にあたって必要なものについて紹介しますので、導入の準備や検討にご活用ください。
WAFを導入するために必要なものまとめ
WAFの導入前に準備しておくもの
WAFの導入にあたり、事前に準備すべきものがあります。導入するWAFの選定や、導入後の設定などに関わる情報などで、準備しておくと導入検討や業者との相談がスムーズになるため、しっかり確認しておきましょう。
ネットワーク構成図
どのようなネットワーク構成になっているか図にしたもので、WAFの導入について検討しやすくなります。特に、据え置き型の機器を導入するか、ソフトウェア型のWAFにするか、クラウド型のWAFサービスを利用するかはネットワークの構成や守りたい範囲によって大きく変わるため、正確なネットワーク構成図を用意して検討するのがよいでしょう。
また、IPアドレスによるアクセス制限やロードバランサーによるロードバランシングなどを行っている場合は変更が必要な場合もあるため、影響しそうな範囲についても確認しておくことが大切です。
サイバー攻撃に関する情報
Webアプリケーションのトラフィックに、まったく攻撃の痕跡がない場合はWAFを導入する必要性は低いと判断することも可能です。
逆に、すでに攻撃が行われている場合などは早めの対策が求められます。すでに起こっているサイバー攻撃や、想定されるサイバー攻撃に関する情報があると、WAFの設定やサービス選びに反映しやすくなるため事前に入手できるなら入手しておきましょう。特に、脆弱性をついた攻撃に対しては、WAFによって対応できる範囲が異なるため事前に情報があるとセキュリティ対策の精度が高まります。
予算
WAFの導入にあたって、コストは非常に重要なポイントです。
据え置きの機器では機器の購入コストと運用・保守のコストが必要になり、クラウド型の場合は運用コストのみがかかります。据え置き型の場合は、設置箇所に十分なスペースがあるか、電源の供給量は十分かなども検討し、必要なら空間や電源を拡張する必要もあるため、よく計算して予算にしっかり反映しましょう。クラウド型の場合は、据え置き型と比較すると検討事項は少ないですが、通信量や保護する機器数などでコストが変わってくるため、一定期間ごとに余裕をもって予算を見積もることが大切です。
動作検証などの導入計画
WAFの導入は、しっかりとした計画に基づいて行われることが望ましいです。保護対象の特定や、パフォーマンスへの影響測定、動作検証手順などをあらかじめ検討しておきます。社内で計画が難しい場合は、導入先の業者にも協力してもらうとよいでしょう。
WAFの導入時に必要になるもの
WAFを導入時には、さまざまなものが必要になります。事前に確認・準備しておくことで、業者との打ち合わせや導入作業をスムーズに進めることが可能です。
ヒアリングシート
WAFの導入にあたっては、一般的に業者側からヒアリングシートが提供されます。設定に必要なwebサイトの FQDNやIP アドレス、Webサイトの帯域情報、管理者アカウントに関する情報などが必要です。
導入形態によっては、ネットワークの構成図も提出が必要になる場合や、取得するログの種類も検討する場合もあります。サービスやネットワーク環境によっては、SSL証明書や中間証明書、秘密鍵などに関する情報も必要です。
誤検知等シグネチャの調整作業
WAFでは通信内容を機械でチェックしますので、設定や環境によっては正常な通信も遮断されてしまう「誤検知」が発生することがあります。誤検知があった場合には、シグネチャ(不正な通信の定義についての情報)の調整を行って誤検知が生じないよう対応することが必要です。
設置するWAFによって、自社で行う場合と業者で行う場合があります。シグネチャの調整はセキュリティレベルを左右する重要な作業ですので、難しい場合は業者に依頼するのがよいでしょう。
ブラックリストとホワイトリスト
WAFでは、ブラックリストとホワイトリストによって不正な通信と正常な通信を判別していることが多いです。
サービス提供者側からあらかじめ提供されているリストもありますが、過去に問題があったユーザーのIPアドレスなどを所有している場合はそういった情報もブラックリストに追加するとよいでしょう。逆に通過させないといけない場合はホワイトリストに追加します。
検証環境
すでに稼働しているサービスなどで、WAFを導入することでパフォーマンスに影響が出ることが懸念される場合は検証環境を構築し、パフォーマンスなどをテストします。
この場合、本番環境と同様のトラフィックや負荷をかけることが必要になるため、普段のサービスへのトラフィックなどを事前に確認しておくことが必要です。検証環境はコストもかかりますが、侵入テストなど実際にサイバー攻撃を仕掛けることで堅牢性を確認したり、シグネチャやリストの調整を通して強固な設定を作ったりしてから本番環境への導入ができるメリットがあります。
WAFの導入後に必要になるもの
WAFは導入して終わりではなく、監視や調整といった運用が必要です。WAF導入の後に必要になるものも事前に考えておきましょう。
運用ポリシー
WAFの運用では、多くの関係者がいるために主体や責任範囲が曖昧になりがちです。そのため、運用ポリシーを定めて、どの作業をいつ誰がどのように実行するのかを明確にしておくとよいでしょう。
特にログの監視作業やシグネチャ調整、ホワイトリストやブラックリストの追加や削除、WAF自体のアップデートといった作業は大事ですので責任者を決めて定期的に行うことが必要です。また、インシデント発生時の対応をあらかじめ決めておいたり、どのような攻撃の痕跡が見られたのかを、サービスの開発や運用に携わる関係者に定期的に報告する機会があるとセキュリティ意識を高めることにつながります。
Webサイトのトラフィック増大時の対応計画
Webサイトへの流入が増加した場合には、それだけWAFにかかる負担が大きくなります。負担が大きくなってくると、処理能力が落ちて、Webサービスのパフォーマンスにも悪影響を及ぼしてしまうため、早めの対応が必要です。
クラウド型の場合は性能の向上や守る機器の拡張が容易に行えますが、据え置き型の場合はさまざまな制約があり、すぐに拡張することはできません。さまざまなケースを想定し、どのような対応を行うのかを事前に定めておくことが大切で、可能なら予算も前もって確保しておくことが望ましいです。サービス提供者によっては、トラフィック量や保護する機器の台数によらず定額で保護してくれるサービスもあるため、単純に拡張するだけでなくプランの再検討もよいでしょう。
定期的なWAFの見直し
サイバー攻撃もセキュリティ対策も日進月歩で進んでいるため、機器やサービスを定期的に見直すことが大切です。WAFの運用実績からサービスのレベルや範囲を見直したり、他にもっと適切なサービスがあればそちらを選ぶことでセキュリティの強化や運用管理の効率化、コストダウンなどのメリットを受けられる場合もあります。
WAF導入に必要なものはそれほど多くない
WAFはWebアプリケーションの保護に効果的ですが、まだまだ日本では活用が遅れている状況です。
WAFの導入に関して必要なものは多くありません。特にクラウド型のサービスでは、導入前後に準備するものも少なく、導入も素早く行えます。WAFは運用が大事で、運用体制をしっかり作ることがセキュリティレベルを維持するためのポイントです。本記事を参考に、ぜひWAF導入を検討してみてください。
